«Have I Been Pwned»: الفرق بين المراجعتين

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث
[مراجعة منقحة][مراجعة منقحة]
ط (عبر إنشاء سجل TXT على النطاق)
ط (مراجع References)
(مراجعة متوسطة واحدة بواسطة نفس المستخدم غير معروضة)
سطر 49: سطر 49:
 
تمكن هذه الخدمة من العثور على جميع الإيميلات المرتبطة بنطاق معين (مثل salamatech.org) الموجودة في قاعدة بيانات الموقع في تسريبات سابقة. تفيد هذه الخدمة المؤسسات بحيث يتم تحديد الأشخاص الذين كانوا ضحايا لهذه التسريبات وأعلامهم واتخاذ الإجراءات اللازمة لحماية الشركة وأنظمتها المعلوماتية.
 
تمكن هذه الخدمة من العثور على جميع الإيميلات المرتبطة بنطاق معين (مثل salamatech.org) الموجودة في قاعدة بيانات الموقع في تسريبات سابقة. تفيد هذه الخدمة المؤسسات بحيث يتم تحديد الأشخاص الذين كانوا ضحايا لهذه التسريبات وأعلامهم واتخاذ الإجراءات اللازمة لحماية الشركة وأنظمتها المعلوماتية.
  
قومول بإدخال المعلومات المطلوبة وهي اسم النطاق Domain name وعنوان بريد إلكتروني ليتم إرسال الإشعارات المستقبلية إليه، وإتمام الكابتشا ثم انقر على  
+
[[ملف:Haveibeenpwned domainsearch.png|600px]]
البدء بالتحقق Begin verification وهي العملية التي ستمكن الخدمة من التحقق من أنكم تمتلكون هذا النطاق أو مسؤولون عنه ولديكم حق الاطلاع على المعلومات خاصة بالنظاق.  
+
 
 +
قومول بإدخال المعلومات المطلوبة وهي اسم النطاق Domain name وعنوان بريد إلكتروني ليتم إرسال الإشعارات المستقبلية إليه، وإتمام الكابتشا ثم انقروا على  
 +
البدء بالتحقق Begin verification وهي العملية التي ستمكن الخدمة من التحقق من أنكم فعلا تمتلكون هذا النطاق أو أنكم مسؤولون عنه.
 +
 
 +
[[ملف:Haveibeenpwned domainsearch2.png|600px]]
  
 
سيعرض الموقع أربعة خيارات للتحقق من ملكيتكم للنطاق أو إدارتكم له، وهي:
 
سيعرض الموقع أربعة خيارات للتحقق من ملكيتكم للنطاق أو إدارتكم له، وهي:
سطر 113: سطر 117:
  
 
==مراجع References==
 
==مراجع References==
 +
 +
[https://haveibeenpwned.com موقع Have I Been Pwned]
 +
 
<!--أضف التصنيفات في الفراغ أسفله-->
 
<!--أضف التصنيفات في الفراغ أسفله-->
 
<!--أضف التصنيفات في الفراغ أعلاه-->
 
<!--أضف التصنيفات في الفراغ أعلاه-->

مراجعة 11:57، 12 يوليو 2019

مقدمة

Have I Been Pwned خدمة أسسها السيد توري هنت Troy Hunt للتبع أخبار تسريبات بيانات تسجيل الدخول واقتناء ما توفر منها، وإتاحتها بشكل مسؤول للجميع على موقع الخدمة https://haveibeenpwned.com بحيث يمكن للجميع التحقق من وجود اسم المستخدم ضمن إحدى التسريبات التي توفرت للخدمة. كما يقدم الموقع خدمات أخرى مثل تنبيه المستخدمين المسجلين عند احتواء أي تسريب جديد على معلومات تسجيل دخولهم. وأيضا تسجيل أي معلومات متوفرة عن حدوث عمليات اختراق حدث فيها تسرب لبيانات تسجيل الدخول، حتى لو لم تتوفر محتويات التسريبات بشكلها الصريح.

توضح صورة الشاشة التالية الصفحة الأساسية في موقع have i been pwned، حيث يظهر في أسف الصورة المأخوذة في 11 شباط/يناير 2019 وجود معلومات عن تسرب بيانات تسجيل دخول أكثر من 6.5 مليار حساب مختلف، تتضمن حسابات على 341 موقع مختلف. والأرقام بارتفاع مستمر.

Haveibeenpwned home.png

يظهر في منتصف الصفحة خانة لوضع عنوان بريد الكتروني، عند وضع عنوان بريدي ما ضمن الخانة والضغط على زر pwned تقوم الخدمة بالبحث عن عنوان البريد الالكتروني الذي تم إدخاله ضمن قاعدة بيانات الخدمة المكونة من جميع التسريبات التي توفر محتواها للخدمة، فإن لم يجد الموقع عنوان البريد الالكتروني الذي تم إدخاله فإن ذلك يعني أن لا معلومات متوفرة حول عنوان البريد الالكتروني المذكور، أي لا نتيجة قطعيّة عن تسرب بيانات تسجيل دخول مرتبطة بعنوان البريد الالكتروني ذلك. فقوائم التسريبات المتوفرة للموقع هي بالضرورة جزء من جميع قوائم التسريبات الموجودة، فهي بالضرورة جزء من كل. فليس من المعتاد أن يقوم المخترقون بتوفير هذه القوائم، وإنما يحتفظون بها لاستخدامها لاحقا. ولا يستطيع القائمون على الخدمة معاينة واستخدام إلّا ما تسرّب منها من المهاجمين أو ما قام المهاجمون ببيعه مقابل مبلغ مالي لجهات قامت بتوفيرها للموقع.

بالمقابل إن وجد الموقع عنوان البريد اللالكتروني ضمن قاعدة البيانات، فذلك يعني حتميا تسرب بيانات تسجيل الدخول ضمن إحدى حوادث تسريبات المعلومات. تقوم الخدمة عند ذلك بإظهار لائحة بالتسريبات التي تضمنت عنوان البريد الالكتروني المذكور. وبعض المعلومات عن تلك التسريبات مثل تاريخ حدوثها والآثار التي ترتبت عن ذلك التسريب. وأيضا نصائح موجه للمستخدم لحماية الحساب (أو الحسابات) التي عرف عنها تسرب بيانات تسجيل الدخول الخاصة بها.

مشكلة تسرب بيانات تسجيل الدخول إلى أحد الحسابات على خدمة معينة قد لا تقف عند تلك الخدمة وإنما قد تتجاوزها لجميع الحسابات على الخدمات الأخرى التي تستخدم بيانات تسجيل الدخول ذاتها (اسم المستخدم أو عنوان البريد الالكتروني وكلمة السرّ).

خدمات Have I Been Pwned

خدمة التحقق ما إذا كان عنوان بريد الإلكتروني موجود في أحد التسريبات

عند الدخول إلى الموقع، ستظهر النافذة الموضحة في الصورة أدناه. قوموا بإدخال عنوان البريد الإلكتروني الخاص بكم. سيخبركم الموقع على الفور عن التسريبات التي ظهر عنوان بريدكم الالكتروني ضمنها. كرروا العملية لجميع العناوين الخاصة بكم للتحقق من ورودها في التسريبات، ولتحديد ماهية خطورة ذلك.

في الصورة أدناه نلاحظ أن العنوان الذي تمّ إدخاله لا يظهر في أي من التسريبات التي تشملها قاعدة البيانات. وهو ما يرجو المستخدم أن يراه.

Haveibeenpwned check email.png

لكن وبسبب الاختراقات الكثيرة لخدمات ومواقع على الإنترنت، قد يظهر عنوان بريدكم الالكتروني ضمن اللائحة، لكونه مرتبطا بحساب ما لكم ما على خدمة اخترقت وتسرب منها معلومات تسجيل الدخول إلى حسابات على تلك الخدمة بينها حسابكم. وهو ما نراه مثلا في الصورة التالية، حيث نرى بأن حساب البريد الالكتروني الذي تم اختباره قد ظهر في ستة من التسريبات كما عثر عليه في حاوية للبيانات قد تم نشرها على الإنترنت سابقا. ما يعني أن معلومات تسجيل الدخول على المواقع المذكور إلى الحسابات المرتطبة بعنوان البريد الالكتروني الذي قمتم بإدخاله، قد تسرّبت. بالنزول قليلا إلى أسفل الصفحة نستطيع أن نرى ما هي تماما هذه التسريبات والحاوية التي تم العثور على الإيميل فيها ,حادثة تسريب البيانات المتصلة بها كما في الصورة التالية.

Haveibeenpwned email check pwned.png

يمكنكم هنا الاطلاع على هذه الحوادث، وتحديد أثر التسريب على أمن بقية الحسابات المرتبطة بعنوان البريد الالكتروني الذي أدخلتموء ففي حال وجود تسريب لكلمات السرّ للحسابات المتصلة، على المستخدم المسارعة إلى تغيير كلمة السر, وربما الإيميل المرتبط بالحساب أيضا. إن كننم تستخدمون كلمة السرّ المسربة ذاتها لعدّة حسابات على الإنترنت، عليكم تغيير كلمات السرّ لتكون فريدة لكل حساب.

في المثال أعلاه نجد بأن هناك تسريب متعلق ببيانات لمستخدمي منصة التواصل المهني لينكد إن Linkedin تم تسريبها عام 2016 لكن حادثة اختراق الموقع التي نجم عنها الاستيلاء على هذه البيانات تعود لعام 2012 أي قبل أربعة سنوات مما يعني بأن حسابات هؤلاء المستخدمين بقيت مكشوفة للمخترقين لأربع سنوات. لهذا السبب ينصح دوما بتغيير كلمة السر كل شهر إلى ثلاثة أشهر وتفعيل التحقق بخطوتين مما يجعل المستخدم أقل عرضة لهذه الأخطار التي تمتد لفترات طويلة من الزمن.

Haveibeenpwned breaches.png

خدمة الإشعارات Notify me

هذه الخدمة تمكنكم من التسجيل لدى الموقع لتلقي إشعارات فورية في حال ورود بريدكم الإلكتروني في أي تسريب جديد للبيانات يضيفه الموقع إلى قاعدة بياناته، وهي تمكن المستخدم من التصرف على الفور، والتأكد من طبيعة البيانات التي تم تسريبها واتخاذ الإجراء المناسب. كل ما عليكم فعله هو إدخال عنوان البريد الإلكتروني المراد مراقبة وجوده في تسريبات قادمة، ستحتاجون لإتمام الكابتشا قبل النقر على Notify me with pwnage. كما في الصورة أدناه.

Haveibeenpwned notifyme.png

لتظهر الشاشة التالية:

Haveibeenpwned notifyme setup.png

ننصح الجميع باستخدام هذه الخدمة لمعرفة إن كانت معلومات تسجيل الدخول لأحد الحسابات قد تسربت وأن التسرب قد أصبح علنيا.

خدمة البحث عن النطاق Domain search

تمكن هذه الخدمة من العثور على جميع الإيميلات المرتبطة بنطاق معين (مثل salamatech.org) الموجودة في قاعدة بيانات الموقع في تسريبات سابقة. تفيد هذه الخدمة المؤسسات بحيث يتم تحديد الأشخاص الذين كانوا ضحايا لهذه التسريبات وأعلامهم واتخاذ الإجراءات اللازمة لحماية الشركة وأنظمتها المعلوماتية.

Haveibeenpwned domainsearch.png

قومول بإدخال المعلومات المطلوبة وهي اسم النطاق Domain name وعنوان بريد إلكتروني ليتم إرسال الإشعارات المستقبلية إليه، وإتمام الكابتشا ثم انقروا على البدء بالتحقق Begin verification وهي العملية التي ستمكن الخدمة من التحقق من أنكم فعلا تمتلكون هذا النطاق أو أنكم مسؤولون عنه.

Haveibeenpwned domainsearch2.png

سيعرض الموقع أربعة خيارات للتحقق من ملكيتكم للنطاق أو إدارتكم له، وهي:

  • عن طريق البريد الإلكتروني Email
  • عن طريق البيانات الوصفية Meta Data
  • عن طريق رفع ملف إلى الموقع File upload
  • عبر إنشاء سجل TXT على النطاق

بعد إتمام عملية التحقق من النطاق، سيقوم الموقع بإرسال المعلومات عن أية إميلات شُملت في تسريبات متوفرة على الموقع.

نوضح فيما يلي جميع الخيارات المتاحة لإعداد هذه الخدمة.

عن طريق البريد الإلكتروني Email

وذلك عبر إثبات ملكية حساب بريد الكتروني على النطاق، حيث تختارون واحدا من أربعة عناوين بريد الكتروني مقترحة ليصلكم عليه بريد التحقق، سيتوجب عليكم إنشاء حساب بريد الكتروني على نطاقكم يحمل الاسم المقترح إن لم يكن بين العناوين المقترحة عنوانا تملكوه أو تستطيعون استخدامه. قدرتكم على استقبال بريد التحقق الالكتروني على أحد هذه الحسابات دليل على ملكيتكم للنطاق Domain. إذا:
قوموا باختيار أحد عناوين الإيميل من العناوين الأربعة المقترحة في القائمة، ثم اضغطوا إرسال إيميل التحقق Send Verification Email>
سيصلكم رسالة تحقق من ملكية الحساب على عنوان البريد الالكتروني الذي اخترتوه، قوموا بالضغط على الرابط ضمن رسالة التححق لاثبات استلامكم للرسالة وبالتالي اثبات ملكيتكم للنطاق.

Haveibeenpwned domain search email.png

عن طريق البيانات الوصفية Meta Data

سيعرض لكم الموقع رمزا كما في الصورة أدناه ويطلب منكم وضعه في ترويسة الصفحة Page header عند جذر النطاق على موقعكم على النطاق. وبذلك تتحقق الخدمة من ملكيتك م للنطاق.
عند إتمام وضع الرمز في المكان المطلوب قوموا بالنقر على Verify meta tag لإتمام عملية التحقق.

600px

عن طريق رفع ملف إلى الموقع File upload

كما في الصورة أدناه، عليك إنشاء ملف نصي باسم have-i-been-pwned-verification.txt ووضع الكود السرّي الموجود في صندوق التالي داخل الملف ثم تحميل الملف إلى الموقع في جذر النطاق (أي يجب أن يكون الملف متاحا للعموم من خلال الرابط: http://اسم النطاق/have-i-been-pwned-verification.txt
عند إتمام الخطوات أعلاه, قوموا بالنقر على Verify file upload لإتمام عملية التحقق.

Haveibeenpwned domainsearch file upload.png

عبر إنشاء سجل TXT على النطاق

يمكنم فعل ذلك شريطة ألا يكون النطاق نطاقاً ثانوياً. كما يجب عليكم تضمين الرمز الظاهر في الصندوق داخل السجل.

Haveibeenpwned domainsearch TXT.png

كلمات السرّ Passwords

يمكن من خلال الموقع التحقق فيما لو أن كلمة سر معينة قد ظهرت في تسريبات سابقة, وهذا لا يعني بالضرورة بأن حسابك قد تأثر, لكنه مؤشر على توفر هذه الكلمة في هذه التسريبات ومدى انشارها وبالتالي سهولة تخمينها من قبل المخترقين. لكن السؤال هل يمكن لنا أن ندخل كلمة السر الخاصة بنا في أي مكان غير المكان المخصص لها على الحساب المرتبطة به؟ لا ننصح بذلك.

Haveibeenpwned passwords 1.png

قمنا بتجربة كلمة السر (123456789) وهي من الكلمات الشائعة جدا ووجدنا أنها ظهرت أكثر من 7.5 مليون مرة في تسريبات سابقة.

Haveibeenpwned passwords 2.png

من تم امتلاكه Who have been pwned؟

يسرد الموقع عدد كبير من حوادث التسريب التي تتضمنها قاعدة البيانات. يمكنكم الاطلاع عليها، كما يمكنكم القراءة عن أهم التسريبات ضمن المقالة الخاصة بتسرب البيانات Data Breaches

Haveibeenpwned who.png

تنقّل في الكتيب eBook Navigation

الفهرس Index

الفهرس الكامل Full Index

اقرأ أيضا See Also

تسرب البيانات Data Breaches

كلمات السرّ Passwords

مراجع References

موقع Have I Been Pwned